Der EDSA (Europäische Datenschutzausschuss) hat ein neues Bußgeldmodell für die Berechnung von Bußgeldern bei datenschutzrechtlichen Verstößen erarbeitet. Damit sollen europaweit einheitliche Bußgelder bei DSGVO-Verstößen verhängt werden. Für Unternehmen wichtig zu wissen: Die Abschreckungswirkung ist ein zentraler Bestandteil dieses neuen Modells. Gerade für Unternehmen mit einem hohen jährlichen Umsatz und in EU-Ländern, in welchen Bußgelder bis jetzt relativ niedrig ausgefallen sind, kann eine Erhöhung von Bußgeldern erwartet werden.
Die EDSA beschließt ein neues Bußgeldmodell – das steckt dahinter
Die Veröffentlichung eines neuen Bußgeldmodells ist lange überfällig, denn so sollen die Strafen aufgrund DSGVO-Verstößen in den einzelnen EU-Mitgliedstaaten vereinheitlicht werden. Auch die deutschen Datenschutzaufsichtsbehörden sollen ab sofort die neu erarbeiteten Vorgaben des Europäischen Datenschutzausschuss bei der Berechnung und Verhängung von Bußgeldern gemäß Art. 83 DSGVO heranziehen. Das veröffentlichte Bußgeldmodell ist jedoch noch nicht in Stein gemeißelt. Es wurde von der EDSA zwar bereits veröffentlicht, Mitsprache ist aber erlaubt: Fachkundige Personen wie Datenschutzbeauftragte, aber auch Vereinigungen und Unternehmen wird zugestanden, bis Ende Juni 2022 Anmerkungen zu den Leitlinien einzureichen. Ob diese in vollem Umfang von der EDSA berücksichtigt werden können, ist allerdings fraglich.
Wie funktioniert das neue Bußgeldmodell?
Die sog. „neuen Bußgelder für Europa“, die auf Grundlage des EDSA-Berechnungsmodells verhängt werden, berechnen sich in fünf Stufen. Wesentlich dabei sind vor allem die Aspekte der Wirksamkeit, Abschreckung und Verhältnismäßigkeit, die immer wieder von der EDSA hervorgehoben werden. Konkret gliedert sich das Modell in folgende Berechnungsschritte:
Identifizierung des Verstoßes: Im ersten Schritt wird bestimmt, welches Verhalten bzw. welche konkreten datenschutzrechtlichen Verstöße eines Unternehmens der Geldbuße zugrunde liegen (Art. 83 Absatz 3 DSGVO).
Einordnung: Nun wird die Ausgangsbasis für die genaue Berechnung des Bußgelds festgelegt. Dabei spielen insbesondere folgende Dinge eine Rolle: Die Bewertung der Einstufung in Artikel 83 Absatz 4 bis 6 DSGVO, die Schwere des Verstoßes sowie der Umsatz des Unternehmens als zentrales Element.
Weitere Umstände: Im folgenden Schritt sollen weitere Umstände – verschärfende oder mildernde – mit in die Berechnung des Bußgelds mit einbezogen werden. Dies geschieht im Zusammenhang mit dem früheren oder gegenwärtigen Verhalten des Verantwortlichen. Hierbei wird generell neutral oder positiv angerechnet, wenn der Verantwortliche Maßnahmen ergreif
Festsetzung der Höchstbeträge: In die Berechnung des Bußgelds fließen im vierten Schritt die einschlägigen gesetzlichen Höchstbeträge für die verschiedenen Verarbeitungsvorgänge mit ein. Diese dürfen von den vorherigen oder nachfolgenden Schritten nicht überschritten werden.
Einschätzung der Geldbuße: Im letzten Schritt soll überprüft werden, ob das durch die bisherigen Schritte berechnete Bußgeld folgenden Anforderungen entspricht: Wirksamkeit, Abschreckung und Verhältnismäßigkeit (gemäß Artikel 83 Absatz 1 DSGVO). Hierbei sind noch letzte Anpassungen möglich, ohne allerdings den Höchstbetrag zu überschreiten.
Diese Konsequenzen sind zu erwarten
In der Vergangenheit wurden bei Verstößen gegen die DSGVO sehr unterschiedlich hohe Geldstrafen verhängt – diese reichten von kleineren Beträgen bis hin zu Millionenstrafen. Ziel des EDSA-Modells ist es nun, die Strafen zu vereinheitlichen – auch vor dem Hintergrund, dass sehr drastische Strafen immer wieder von Gerichten gekippt wurden. Zentral ist dennoch weiterhin der Aspekt der Abschreckung – so erhöht sich im neuen Bußgeldberechnungsmodell mit steigenden Unternehmensumsätzen auch die Bußgeldhöhe. Dies hat zur Folge, dass vor allem bei Unternehmen mit hohen Umsätzen Bußgelder ab sofort höher ausfallen könnten als bisher.
Ein weiterer interessanter Aspekt des EDSA-Modells ist, dass das Fehlverhalten von Mitarbeitern, das zu datenschutzrechtlichen Verstößen führt, einem Unternehmen „grundsätzlich unmittelbar zurechenbar“ ist – heißt konkret: Das Unternehmen haftet für Handlungen oder Unterlassungen von Mitarbeitern. Ein Grund mehr, den Datenschutz im Unternehmen stets priorisiert zu behandeln und alle Angestellten regelmäßig durch Datenschutzschulungen zu sensibilisieren.
Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 07.07.2022